È illecito l’invio di una email contenente dati sulla ricezione di servizi sanitari inviata ad un soggetto diverso dall’interessato.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Una signora inviata un reclamo al Garante per la protezione dei dati personali con cui lamentava che una ASL aveva inviato, ad un soggetto terzo, una email che era invece destinata alla medesima reclamante e contenente dati personali che la riguardavano. In particolare, la signora sosteneva che un ufficio della predetta ASL aveva inviato, ad un indirizzo email non appartenente alla medesima, un provvedimento con cui negava alla signora la concessione di benefici economici per usufruire di prestazioni sanitarie presso una struttura sanitaria privata extra-regione, contenente i dati identificativi della reclamante, l’indicazione dell’azienda ospedaliera dove avrebbe dovuto essere eseguita la prestazione sanitaria e alcuni elementi del percorso medico intrapreso dalla signora.
A fronte del reclamo ricevuto, il Garante invitava la ASL a fornire informazioni sulla vicenda descritta dalla signora, ma la struttura sanitaria non forniva alcun riscontro alla predetta richiesta.
In considerazione del mancato riscontro alla richiesta di informazioni, il Garante notificava alla ASL la comunicazione di avvio del procedimento sanzionatorio nei suoi confronti, invitandola a fornire le proprie difese in merito.
La struttura sanitaria affermava che una propria dipendente aveva inviato il provvedimento in questione alla reclamante tramite raccomandata e tramite email. Mentre la raccomandata veniva regolarmente ritirata dalla reclamante, la email – per mero errore materiale – veniva inviata all’indirizzo email di un soggetto diverso al posto del riscontro che avrebbe dovuto essere effettivamente inviato a detto soggetto terzo. La dipendente della ASL, accortasi lo stesso giorno dell’errore, aveva tempestivamente comunicato a detto terzo l’erroneo invio dell’allegato, con invito a cancellare immediatamente la comunicazione in quanto relativa ad altro utente. Secondo la struttura sanitaria, tale circostanza dimostrava il carattere colposo della violazione, in quanto la dipendente non aveva voluto l’invio dei dati della reclamante a soggetto terzo.
Inoltre, la ASL evidenziava che non vi era prova del fatto che il soggetto terzo avesse preso visione effettivamente del documento contenente i dati della reclamante e che in ogni caso l’ufficio in questione della struttura sanitaria aveva adottato una misura tecnica per evitare situazioni analoghe mediante l’invio di comunicazioni email criptate con password di accesso.
Infine, per quanto concerne l’omesso riscontro alla richiesta di informazioni da parte dell’Autorità, la ASL non forniva alcuna difesa in merito.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
20.00 €
2. Invio a terzi di email con dati sulla ricezione di servizi sanitari: la valutazione del Garante
Il Garante ha avviato il procedimento sanzionatorio nei confronti della ASL, in quanto ha ritenuto sussistenti due diverse violazioni da parte di quest’ultima.
Per quanto concerne la comunicazione dei dati della reclamante, l’Autorità ha preliminarmente ricordato che per dati relativi alla salute si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Pertanto, i dati relativi alla salute comprendono anche le informazioni sulla persona fisica che sono raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria.
Con riferimento a detta tipologia di dati, la normativa in materia di protezione dei dati personali prevede che, in ambito sanitario, le informazioni sullo stato di salute possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.
In secondo luogo, il Garante ha evidenziato che il titolare del trattamento deve rispettare i principi in materia di protezione dei dati, fra cui quello di integrità e riservatezza dei dati, secondo cui i dati devono essere trattati in modo da garantire un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o dalla loro perdita o distruzione o danno accidentali, attraverso l’impiego di misure tecniche e organizzative adeguate.
Per quanto riguarda il mancato riscontro alla richiesta di informazioni del Garante, quest’ultimo ha ricordato che la predetta autorità ha il potere di chiedere al titolare del trattamento, al responsabile o ai loro rappresentanti, così come allo stesso interessato o a soggetti terzi, di fornire in formazioni e di esibire documenti anche con riferimento al contenuto di banche dati.
Nel caso di specie, la ASL ha compiuto un trattamento illecito di dati, consistente nella comunicazione ad un soggetto terzo di dati relativi alla salute di un proprio paziente, non rispettando così gli obblighi di sicurezza dei dati ed i correlati principi di integrità e riservatezza; dall’altro lato, la struttura sanitaria ha omesso di fornire riscontro alla richiesta di informazioni rivoltale dall’autorità.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la predetta duplice condotta posta in essere da parte della struttura sanitaria fosse idonea a violare i richiamati principi previsti dalla normativa in materia di protezione dei dati personali e che gli elementi difensivi forniti dalla struttura medesima non siano idonei a superare le violazioni riscontrate.
Conseguentemente il Garante, valutato che la condotta illecita avesse già esaurito i propri effetti e che pertanto non vi fossero i presupposti per adottare delle misure correttive, ha ritenuto necessario applicare nei confronti del titolare del trattamento una sanzione amministrativa pecuniaria.
Per quanto concerne la sua quantificazione, il Garante ha ricordato che la stessa va inflitta in funzione delle circostanze di ogni singolo caso e determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività. Quindi, nel caso di specie, il Garante ha considerato un livello basso di gravità della condotta posta in essere dalla ASL (tenuto conto che vi è stato un solo interessato coinvolto, della categoria di dati personali interessati dalla violazione e del carattere non intenzionale della violazione). Inoltre, ha considerato che l’ Autorità ha preso conoscenza della fattispecie solo a seguito del reclamo presentato dall’interessata e che la struttura sanitaria ha introdotto una nuova misura di protezione (cioè un sistema di posta criptato con password di accesso) per evitare il ripetersi dell’accaduto ed ha chiesto al terzo cui erano stati comunicati i dati della reclamante di cancellarli. Sulla base della ponderazione di tutti sopra indicati elementi, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 18.000 (diciottomila).
Scrivi un commento
Accedi per poter inserire un commento